spring security起步三:自定义登录配置与form-login属性详解

最新推荐文章于 2021-09-02 10:46:23 发布
最新推荐文章于 2021-09-02 10:46:23 发布
阅读量1k 收藏
点赞数
分类专栏: spring security

在上一篇博客spring security起步二:自定义登录页中我们实现了如何自定义登录页,但是还存在很多问题: 
1.spring security如何对登录请求进行拦截 
2.登录成功后如何跳转 
3.登录失败后如何跳转

form-login属性详解

form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性: 
1. login-page 自定义登录页url,默认为/login 
2. login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action 
3. default-target-url 默认登录成功后跳转的url 
4. always-use-default-target 是否总是使用默认的登录成功后跳转url 
5. authentication-failure-url 登录失败后跳转的url 
6. username-parameter 用户名的请求字段 默认为userName 
7. password-parameter 密码的请求字段 默认为password 
8. authentication-success-handler-ref 指向一个AuthenticationSuccessHandler用于处理认证成功的请求,不能和default-target-url还有always-use-default-target同时使用 
9. authentication-success-forward-url 用于authentication-failure-handler-ref 
10. authentication-failure-handler-ref 指向一个AuthenticationFailureHandler用于处理失败的认证请求 
11. authentication-failure-forward-url 用于authentication-failure-handler-ref 
12. authentication-details-source-ref 指向一个AuthenticationDetailsSource,在认证过滤器中使用

spring security登录相关的过滤器

首先应注意的一点是,spring security 3.x 默认的登录拦截URL是/j_spring_security_check,而spring security 4.x默认拦截的URL是/login。在spring security中,具体处理表单登录验证的是o.s.s.w.a.UsernamePasswordAuthenticationFilter,另外一个过滤器o.s.s.w.a.ui.DefaultLoginPageGeneratingFilter用于在没有指定登录页时动态生成一个默认登录页

登录配置
登录页面 login.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body onload='document.f.username.focus();'>
    <h3>Login with Username and Password</h3>
    <form name='f' action='${pageContext.request.contextPath }/login'
        method='POST'>
        <table>
            <tr>
                <td>User:</td>
                <td><input type='text' name='username' value=''></td>
            </tr>
            <tr>
                <td>Password:</td>
                <td><input type='password' name='password' /></td>
            </tr>
            <tr>
                <td colspan='2'><input name="submit" type="submit"
                    value="Login" /></td>
            </tr>
        </table>
    </form>
</body>
</html>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
登录成功页面 index.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    登录成功
</body>
</html>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
登录失败页面 login-failure.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    登录失败
</body>
</html>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

页面配置完成,剩下的就是映射url到具体的页面

登录成功页面映射 HelloController.java
@Controller
public class HelloController {

    @RequestMapping(value={"/welcome","/"},method=RequestMethod.GET)
    public String welcome(){
        return "index";
    }
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
登录页面及登录失败页面映射 LoginController.java
@Controller
public class LoginController {

    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String loginPage(@RequestParam(value = "error", required = false) String error, Model model) {
        if (error != null) {
            return "login-failure";
        }
        return "login";
    }
}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
spring security配置 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/login" security="none"></http>

    <http auto-config="true" use-expressions="true">
        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
        <form-login login-page="/login" login-processing-url="/login" always-use-default-target="true"
            default-target-url="/welcome" authentication-failure-url="/login?error=error" />
    </http>
    <authentication-manager alias="authenticationManager">
        <authentication-provider>
            <user-service>
                <user authorities="ROLE_USER" name="guest" password="guest" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</bean:beans>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

现在,配置基本完成,启动项目后,在登录页面输入用户名和密码,不管正确与否都会有405错误Request method ‘POST’ not supported。为什么会出现这个错误呢?

登录请求405错误

在登录请求中出现405错误,其实是我们在配置过程中,spring mvc和spring security出现了一点冲突导致的。

首先,请注意下面这两个配置段

<http pattern="/login" security="none"></http>
 
 
  • 1
<form-login login-page="/login" login-processing-url="/login" ......
 
 
  • 1

第一个配置告诉spring security,类似于/login的url请求不做过滤处理,而第二个配置信息又告诉spring security url为/login的post请求登录请求处理。正是这种冲突导致了405错误的发生。

既然知道了错误原因,那么只要避免冲突就能解决这个问题:使登录页的请求和登录处理的请求不一致,然后只配置登录页的请求不做拦截处理.

我采用的方法是使用默认的登录URL /login,修改登录页面跳转url为/loginPage。请自行修改代码和配置信息

这样是不是就大工告成了呢?很遗憾,当你启动程序时,输出用户名和密码,不管正确与否,都会有404 Not Found等着你,这又是为什么呢?

登录请求404错误

首先,建议你看一下spring security自动生成的登录页源码,你会发现有如下代码

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
 
 
  • 1

对于什么是csrf,请自行参考网上的资料。

spring security默认情况下csrf protection是开启的,由于我们的登录页没有配置csrf的相关信息,因此spring security内置的过滤器将此链接置为无效链接

解决办法就是配置csrf protection为不可用状态,在配置文件中增加

<csrf disabled="true"/>
 
 
  • 1

附上完整的spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <http pattern="/loginPage" security="none"></http>

    <http auto-config="true" use-expressions="true">
        <intercept-url pattern="/*" access="hasRole('ROLE_USER')" />
        <form-login login-page="/loginPage" login-processing-url="/login" always-use-default-target="true"
            default-target-url="/welcome" authentication-failure-url="/loginPage?error=error" />
            <csrf disabled="true"/>
    </http>
    <authentication-manager alias="authenticationManager">
        <authentication-provider>
            <user-service>
                <user authorities="ROLE_USER" name="guest" password="guest" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</bean:beans>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

到此为止,大功告成

源码下载

源码下载地址https://github.com/SmallBadFish/spring_security_demo/archive/0.1.1-customlogin.zip

hxpjava1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限框架SpringSecurity(一)——自定义登录
m0_67402564的博客
07-31 1723
提供的默认表单登录页面有点简单,如果想使用自己的登录页该怎么办?继续关注类,继续重写它的和@Override}@Override.and().and()}用来配置忽略掉的URL地址,一般对于静态文件采用此操作and方法表示结束当前标签,上下文回到,开启新一轮的配置formLogin表示开启表单登录loginPage指定自定义登录页面permitAll表示登录相关的页面/接口不要被拦截关闭csrf当自定义登录页面为时,也会自动注册一个接口,这个接口是POST项目的时,POST为。...
Spring Security5.0.1 总结之如何让认证失败(登录失败)消息自定义在前端页面显示
闲时不练功,忙时一场空
07-22 2609
开发环境ssm+Spring Security 5.0.1.RELEASE 在自定义登录页面输入的帐号密码错误,页面中没有任何错误消息提示,所以需要将提示信息显示出来 Spring Security 框架将所有的错误信息都定义成了异常,并且提供了国际化的资源文件。这个资源文件在 spring-security-core-5.0.1.RELEASE.jar文件中 这里说下Idea国际...
springsecurity 快速入手2 ——自定义登录登录成功、登录失败页面
xiqi439的博客
08-11 241
springsecurity快速入手1的基础上,修改spring-security配置为如下配置。即可实现自定义登录页面,登录成功,登录失败页面。 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:secu...
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
Spring安全OAuth 我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: oauth-rest rest-基于新的Spring Security 5堆栈的授权服务器(Keycloak),资源服务器和Angular App oauth-jwt jwt-基于新的Spring Security 5堆栈的授权服务器(Keycloak),资源服务器和Angular App,专注于JWT支持 oauth-jws-jwk-legacy -Spring Security OAuth2应用程序中的JWS + JWK的授权服务器和资源服务器 oauth-legacy legacy-用于旧
一、登录认证之Security
weixin_44033897的博客
03-09 778
登录认证-Security 一.传统认证 用户登录流程原理 登录基本流程 用户发起登录请求——》LoginController响应请求拿到用户输入的账户密码——》调用Service层通过Dao层根据用户名从数据库查找用户对象——》service层对用户输入的信息和数据库查询的用户对象比较——》认证成功,通过UserContext用户上下文将用户对象信息保存到session 登录详细流程 service层判断输入信息是否为空——》 根据用户名调用mapper层到数据库中查询——》 判断查询对象对象是否
SpringSecurity实现自定义登录界面
波波烤鸭的博客
12-05 6915
  前面通过入门案例介绍,我们发现在SpringSecurity中如果我们没有使用自定义登录界面,那么SpringSecurity会给我们提供一个系统登录界面。但真实项目中我们一般都会使用自定义登录界面,本文我们就来介绍下如何实现该操作。 注意:本文是在入门案例代码的基础上演示的! 一、页面准备 我们准备如下相关的jsp页面 1.login.jsp页面 <%-- Created by...
详解Spring SecurityformLogin登录认证模式
ding43930053的专栏
07-28 685
详解Spring SecurityformLogin登录认证模式 一、formLogin的应用场景 在本专栏之前的文章中,已经给大家介绍过Spring Security的HttpBasic模式,该模式比较简单,只是进行了通过携带Http的Header进行简单的登录验证,而且没有定制的登录页面,所以使用场景比较窄。对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的formLogin
SpringSecurity - 登录注册加密/登录拦截/失败信息回显详解(慢步骤解析)
江南烟雨却痴缠丶
01-24 3857
配置文件中form-login标签详解 login-page // 自定义登录页面的url,例如login.htmllogin-processing-url // 登录请求拦截的url,即form表单提交的url,默认值是/login // 以下2个需要配合使用,如果需要认证成功跳转的url,则always-use-d...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
SpringSecurity使用
LD_HH的博客
09-02 1134
①、解决默认进入login页面的方法 当我们在创建springboot的时候选择了springsecurity maven就会发现一直跳转在springsecurity自带的login页面 1、直接将maven去除 2、加上(exclude = {SecurityAutoConfiguration.class}) //取消登录验证 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 3、可以设置login的账号和
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
Cannot resolve org.springframework.security:spring-security-config:5.7.8
05-14
implementation 'org.springframework.security:spring-security-config:5.7.8' } ``` 如果你已经添加了这个依赖项,那么可能是因为你的Maven或Gradle配置文件无法访问Maven中央仓库。可以尝试清除本地Maven仓库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值